As empresas e organismos portugueses estão desprotegidos em relação aos ciberataques?
- Estão
Uma empresa ou um organismo pode garantir que, depois de ter investido muito dinheiro em segurança, está seguro contra ciberataques?
- Não
Um pirata informático consegue sempre entrar nos sistemas de uma qualquer empresa ou de um qualquer organismo, por melhor protegidos que estejam?
- Consegue. É uma questão de tempo.
Quais são as principais vulnerabilidades das redes e dos sistemas informáticos?
- Muitas. Essencialmente as humanas.
O que deve uma empresa ou organismo fazer para melhor se defender de um ataque informático?
- Para além de investir em segurança (equipamentos, aplicações, etc), em formação a todas as pessoas da empresa e num seguro adequado, deve, acima de tudo, ter um bom plano de contingência que contemple bons sistemas de backup. Mais tarde ou mais cedo, todos serão atacados. A diferença estará na capacidade de rápida recuperação.
Pode dar um exemplo de como pode ser fácil a um hacker entrar em sistemas alheios, danificando ficheiros, capturando acessos, copiando informação, impedindo os serviços, etc?
- Um exemplo muito simples. Imagine-se um estagiário que vá trabalhar na área de IT. E, quem diz estagiário, pode dizer um trabalhador temporário. Ou mesmo efectivo. Tanto faz. Enquanto lá está, para poder trabalhar, atribuem-lhe permissões adequadas a pessoas que trabalham nesta área (permissões alargadas). Enquanto lá está, sabe como é a arquitectura das redes, dos sistemas, como é a segurança, quais as rotinas dos administradores de sistemas, etc. Quando sai, suponha-se que, por lapso, não lhe são retirados de imediato os acessos. Ou nem isso. Suponha-se que, quando lá estava, criou um utilizador com permissões alargadas. Suponha-se que, já lá fora, resolve fazer uso dos acessos e dos conhecimentos. Entra legitimamente, não é detectado pelos sistemas de segurança. Faz o que quer. Ou suponha-se que nem é ninguém de fora mas alguém que, lá dentro, resolve vingar-se. Ou que está a ser pago por alguém para fazer isso. Mil hipóteses. Mil hipóteses quase impossíveis de detectar. Ou, numa organização ainda pouco apetrechada para detectar brechas, suponha-se que alguém instalou algum equipamento ligado à rede e que se esqueceram de mudar a palavra-passe que o equipamento traz por defeito, palavra-passe essa disponível na net. Mil hipóteses. Mil. Impossível a blindagem absoluta. Impossível. Uma vez lá dentro, é só o tempo para ir entrando, conhecendo, agindo. Pode até nunca dar a conhecer que lá está ou lá esteve. E estar, silenciosamente, fazendo o que quer. Ou pode, um dia, deitar tudo abaixo. Apesar de não estar ao alcance de qualquer um, é fácil.
O que leva um pirata informático a entrar nos sistemas e nas redes de empresas ou organismos?
- Motivações políticas (em especial quando os hackers actuam a mando de Estados), motivações comerciais (para prejudicar as empresas atacadas), motivações económicas (pedindo resgates), por gozo (entrar em sistemas alheios é um desafio, é como vencer etapas de um jogo).
Os únicos riscos que se correm quando uma empresa ou organismo são atacados são apenas os de se perder informação ou de se ficar sem acesso durante uns dias?
- Não. Pode ser muito pior que isso. Se pensarmos nos equipamentos de controlo de instalações críticas tais como redes eléctricas ou de abastecimento de água ou gás, salas de controlo na aviação ou na rede ferroviária ou de metropolitano, salas de controlo em fábricas químicas ou petroquímicas, ou redes de operadores de comunicação, em especial se forem de mais que um em simultâneo. Em qualquer destes casos pode estar a falar-se em risco de vida, potencialmente em risco para muitas vidas. Ou seja, há casos que dizem respeito à segurança nacional. E espero bem que, a esta altura do campeonato, os nossos SIS estejam a validar com as empresas críticas como estão os seus planos de contingência.
De novo, o que devem as empresas e organismos fazer para prevenir situações graves?
- Levar o risco muito a sério. Em primeiro lugar devem ter um responsável de Segurança. Não deve ser uma pessoa qualquer. Deve ser alguém muito competente, muito pragmático, muito assertivo, muito bem conhecedor do funcionamento e da cultura da organização, deve ter um grande ascendente junto de todas as pessoas, deve reportar à Administração. Em segundo lugar deve haver um orçamento generoso para o tema da Segurança.
Numa empresa ou organismo críticos, em caso de suspeita de que algum deslize pode ter acontecido, de que algo de suspeito pode estar a acontecer, o que se deve fazer?
- Ao contrário do que é costume (desvalorizar, recear 'dramatizar', ter medo de que acusem de ser paranóíco, etc), deve agir-se prudencialmente: devem avisar-se de imediato as autoridades (SIS e/ou Centro Nacional de Cibersegurança, consoante a natureza da suspeita), chamar peritos em segurança, começar de imediato a monitorizar de perto todos os comportamentos na rede e nos sistemas, em especial os que pareçam anómalos e, de imediato, verificar se todos os sistemas de contingência estão operacionais e se há quem saiba conduzi-los.
A comunicação social tem estado a dramatizar ou a empolar a gravidade dos ataques sofridos este ano (e ainda estamos no início de Fevereiro) pelo grupo Impresa, pelo grupo Cofina, pela Assembleia da República, pela Vodafone, pelos laboratórios Germano de Sousa...?
- Não. Pelo contrário. Neste caso, maior divulgação dos riscos e maior divulgação de quais as melhores práticas seriam necessárias.Este tema é sexy?
- Não.
Então porque temos que lhe dar atenção?
- Porque disso pode depender a nossa liberdade. Ou a nossa vida.
Excelente, UJM. Parabéns.
ResponderEliminarInfelizmente ainda há entidades e empresários que encaram o investimento em Segurança Informática como um custo, e só o irão perceber no dia que virem a continuidade do seu negócio irremediavelmente comprometida.
Desejo-lhe um excelente domingo.
Obrigada, Corvo.
ResponderEliminarMuito obrigada.
Estamos cada vez mais dependentes da informática mas há ainda um grande défice de cultura de gestão de risco e uma fraca compreensão dos enormes riscos que se correm. Pode ser que, como estes casos, muitos dos que hoje se fiam na virgem e não correm.
Desejo-lhe uma bela semana!